互聯網流量異常引發代碼大追捕 原因不明

蠕蟲病毒？特洛伊木馬？還是攻擊工具？網絡管理人員和安全專家繼續在查找引起互聯網上 數據流量不正常增加的原因。 　　安全軟件廠商互聯網安全系統（ISS）公司于上周四宣布它已經查找到了原因，一種掃描進 入公共網絡路徑的黑客工具是罪魁禍首。但許多專業人士都認為，ISS“搶跑”了，它從一開始 就在跟蹤這一代碼。 　　Intrusec公司的技術總監戴維說，真兇可能還在消遙法外。他說，這一工具的代碼可能引 起了數據流量的部分增加，安全人士截獲的數據和代碼生成的數據之間明顯的不同表明，黑客工 具并非元兇。他指出，我們有理由相信，另有其它東西生成了這些代碼。戴維表示，我認為這不 是一次嚴重的攻擊行為，因為 它不具備自我復制能力，也沒有對任何人構成重大危害。 　　自5月中旬以來，安全研究人員一直在跟蹤引起他們的網絡上數據流量不正常增加的原因， 這些數據頻繁地試圖與不存在的服務器或現有服務器不提供的服務聯接，唯一的線索是這些數據 的窗口大小都是55808字節。可管理安全服務提供商LURHQ公司的高級入侵分析家斯圖爾特表示， 沒有一種操作系統的數據窗口大小是55808字節。 　　斯圖爾特在5月下旬發現一臺計算機試圖與公司的網絡上不存在的計算機連接，這一數據庫流 量的唯一問題是它的來源是一個不存在的互聯網地址，由于IANA已經保留了包含有數字的地址， 因此互聯網路由器不會轉發這樣的數據。因此，盡管斯圖爾特多次發現了與其網絡上計算機連接 的嘗試，但卻不能對這些數據進行跟蹤。他說，這可能是已經被破壞的掃描軟件或有人在企圖映 射地址空間。 　　有關這一代碼的推測很多。一些人起初認為這些數據是由利用了IRC系統的蠕蟲病毒發送的， 還有人認為這是一種低水平的拒絕服務攻擊（DoS），Network Associates公司則認為這一代 碼是一種名為W32/Randex.c的蠕蟲病毒。 　　但是，目前最可能的推測是，Intrusec公司發現的是一種能夠向隨機地址發送信息的掃描和 攻擊工具。這一工具中有許多bug，導致它不能正常運行。即使沒有缺陷，它興風作浪的機會也不 大，盡管隱藏了發送者和接收者的地址，向互聯網上任何地址發送數據的技術即使在最好情況下的 效率也非常低。 　　斯圖爾特相信，被發現的代碼可能是未來黑客的研究行動，但他不排除還有其它可能。他說， 除非有人能夠提出與我所看見的相符合的分析，否則我寧愿繼續等下去。